Jurnal TA Sapta RF

1

IMPLEMENTASI INTRUSION DETECTION AND PREVENTION SYSTEM DI PT. TELEKOMUNIKASI INDONESIA

Sapta Rizki Fauzi1, Ir. Nina Hendrarini

2, Umar Ali Ahmad, ST.

3

Program Studi Teknik Komputer Politeknik Telkom

Bandung 2010

Jl. Telekomunikasi Dayeuhkolot Bandung 40257

ABSTRAK

Keamanan merupakan hal yang sangat penting dalam jaringan komputer, dimana satu dengan lain dan beberapa device terhubung dalam satu kesatuan saling berinteraksi dan bertukaran data hingga tanpa batas, beberapa faktor mempengaruhi mengapa begitu pentingnya keamanan suatu jaringan diantaranya, Availability Ketersediaan dimana data atau layanan yang dapat dengan mudah dipantau/digunakan oleh pengguna dari sebuah layanan, Confidentiality (kerahasiaan), Integrity (integritas). Terlebih di jaringan sebuah perusahaan besar seperti PT. Telekomunikasi Indonesia dengan. Pengoperasian dan pemeliharaan jaringan dengan baik akan menentukan berhasil tidaknya, report-report yang dikirimkan oleh sentral yang masuk pada bagian NMS untuk diolah atau diproses menjadi informasi-informasi yang dapat di tampilkan agar dapat mengambil keputusan secara dini dalam mengendalikan traffic jaringan. Dengan menghadirkan IDP (Intrusion Detection and Prevention system) harapannya bisa menjadi solusi keamanan, IDS merupakan sistem yang lebih dinamik dari firewall, karena IDS mampu mendeteksi (mengetahui) adanya penyusup (baik yang dilakukan oleh seseorang yang ingin mendapatkan akses ilegal ataupun user yang mempunyai akses, tetapi melampaui wewenangnya). dan dapat memberitahu administrator melalui e-mail maupun melalui mekanisme lain seperti melalui pager. Dengan demikian IDS merupakan komponen yang dapat melengkapi (membuat menjadi sempurna) sistem pengamanan pada suatu jaringan.

1 PENDAHULUAN 1.1 Latar Belakang

PT. Media Telekomunikasi Mandiri (MTM) merupakan perusahaan penyedia jasa integrator jaringan yang fokus dalam memberikan solusi dan konsultasi kepada client dalam hal transformasi jaringan IT dan telekomunikasi dari yang berbasis legacy / tradisional ke dalam jaringan yang berbasis teknologi masa depan yaitu Internet Protocol (IP). Struktur Organisasi:

Gambar 1.1 Struktur Organisasi PT. Media Telekomunikasi

Mandiri Pada kesempatan kali ini PT. Media Telekomunikasi

Mandiri, mendapat kepercayaan mengerjakan proyek salah satu Provider Telekomunikasi Indonesia, PT. Telekomunikasi Indonesia (TELKOM) untuk meningkatkan performansi dan keamanan jaringan dalam hal Pengadaan Perangkat Instrusion Detection and Prevention (IDP).

1.2 Perumusan Masalah Pengoperasian dan pemeliharaan jaringan

dengan baik akan menentukan berhasil tidaknya, report-report yang dikirimkan oleh sentral yang masuk pada bagian NMS untuk diolah atau diproses menjadi informasi-informasi yang dapat di tampilkan agar dapat mengambil keputusan secara dini dalam mengendalikan traffic.

Dalam laporan akhir ini akan di bahas bagaimana proses instalasi Intrusion Detection and Prevention (IDP) system untuk keamanan jaringan dengan terlebih dahulu mempelajari mekanisme kerjanya.

1.3 Tujuan

Tujuan yang dapat diperoleh dari penerapan IDP (Intrusion Detection and Prevention) ini adalah:

1. Membangun infrastruktur dan layanan keamanan jaringan dengan perangkat Juniper 800.

2. Mengupayakan agar alur data dan sistem informasi perusahaan berjalan sebagaimana mestinya tanpa adanya ganguan.

1.4 Batasan Masalah Untuk menghindari meluasnya materi

pembahasan tugas akhir ini, maka penulis membatasi permasalahan hanya mencakup hal-hal berikut :

a. Implementasi IDP menggunakan perangkat Juniper IDP-800.

b. Tidak membahas jenis-jenis serangan yang mungkin terjadi.

2

c. Percobaan serangan terhadap jaringan tidak dilakukan.

d. Rules security identifikasi filtering di tentukan oleh PT. Telkom.

1.5 Metode Penelitian a. Studi literature

Studi literature ini dimaksudkan untuk mempelajari konsep dan teori-teori yang dapat mendukung proses perancangan sistem

b. Perancangan dan implementasi Merancang dan mengimplementasikan dari konsep dan teori yang telah diperoleh. Melakukan pengujian terhadap hasil perancangan yang telah dikerjakan.

c. Pengujian Implementasi Menguji hasil implementasi dari Intrusion Detection and Prevention (IDP)

1.6 Sistematika Penulisan Penulisan tugas akhir ini akan dibagi beberapa bagian sebagai berikut : Bab I Pendahuluan

Berisi latar belakang, perumusan masalah, batasan masalah, tujuan pembahasan, metodologi penyelesaian masalah dan sistematika penulisan.

Bab II Landasan Teori Berisi tentang dasar-dasar teori yang diperlukan serta literatur-literatur yang mendukung dalam pembangunan sebuah Intrusion Detection and Prevention (IDP)

Bab III Analisa Kebutuhan dan desain Berisi tentang pembahasan perancangan Intrusion Detection and Prevention (IDP), bagan jaringan, flowcar.

Bab IV Implementasi dan Pengujian Melakukan implementasi, konfigurasi untuk kemudian dilanjutkan dengan pengujian

Bab V Kesimpulan Dan Saran Berisi tentang kesimpulan akhir dan saran pengembangan tugas akhir

2 DASAR TEORI 2.1 Jenis - Jenis Topologi Jaringan

2.1.1 Topologi Point to Point Jaringan titik ke titik merupakan jaringan kerja yang paling sederhana tetapi dapat digunakan secara luas. Pada jenis topologi ini, semua simpul mempunyai kedudukan yang setingkat, sehingga simpul manapun dapat memulai dan mengendalikan hubungan dalam jaringan. Data dikirim dari satu simpul langsung kesimpul lainnya sebagai penerima.

Gambar 2.1 Topologi point to point

2.1.2 Topologi Bus

Pada topologi bus semua terminal terhubung ke jalur komuniksi. Informasi yang dikirim akan melewati semua terminal pada jalur tersebut.

Gambar 2.2. Topologi Bus

Topologi ini tergolong paling

sederhana, dimana setiap terminal yang dilengkapi dengan sebuah NIC, dihubungkan dengan sebuah kabel tunggal coaxial. Jumlah terminal dapat ditambah dan dikurangi secara fleksibel. Namun, jumlah terminal hendaknya dibatasi, karena apabila terminal terhubung sangat banyak, maka kinerja pada jaringan ini akan turun drastis. Kekurangan lain dari topologi ini adalah bila ada terminal yang mati , maka operasional jaringan akan terganggu.

2.1.3 Topologi Star

Topologi ini merupakan suatu konfigurasi jaringan dimana terdapat sebuah titik yang merupakan pusat hubungan dari semua grup atau system. Semua transmisi dari sebuah system ke system yang lain berjalan melalui titik pusat tersebut.

3

Gambar 2.3. Topologi Star

Pada saat membangun hubungan dengan topologi star ini yang perlu di perhatikan yaitu harus dihindari terjadinya percabangan pada suatu terminal, karena masing-masing segmen harus dihubungkan secara linear tanpa percabangan.

2.1.4 Topologi Ring

Topologi ini merupakan suatu konfigurasi jaringan dimana pengkabelanya berbentuk loop dengan hubungan point-to-point sederhana yang terhubung ke setiap system dan membentuk sebuah ring.

Gambar 2.4. Topologi Ring

Setiap terminal dalam jaringan computer lokal saling tergantung sehingga jika terjadi kerusakan pada satu terminal maka seluruh jaringan akan terganggu. Topologi ini sangat tepat untuk perusahaan, unit atau departemen yang sangat tinggi lalu lintas transmisi data dan informasinya.

2.1.5 Topologi Tree

Tidak semua simpul mempunyai kedudukan yang sama. Simpul yang kedudukannya lebih tinggi “menguasai” simpul dibawahnya. Jaringan sangat tergantung pada simpul tertentu terutama padaa simpul yang kedudukannya lebih tinggi. Karena itu juga dapat disebut sebagai

“Hierarchial Topology”, sedang yang lainnya kedudukan semua simpul sama disebut sebagai “Peer Topology”.

Gambar 2.5. Topologi Tree

2.2 IDS (Intrusion Detection System)

Intrusion Detection System (IDS) merupakan sistem yang lebih dinamik dari firewall, karena IDS mampu mendeteksi (mengetahui) adanya penyusup (baik yang dilakukan oleh seseorang yang ingin mendapatkan akses ilegal ataupun user yang mempunyai akses, tetapi melampaui wewenangnya). dan dapat memberitahu administrator melalui e-mail maupun melalui mekanisme lain seperti melalui pager. Dengan demikian IDS merupakan komponen yang dapat melengkapi (membuat menjadi sempurna) sistem pengamanan pada suatu jaringan. Dengan demikian keberadaan IDS pada sistem proteksi jaringan menjadi penting dan perlu untuk diperhatikan, hal ini didasari oleh beberapa pertimbangan sebagai berikut:

1. Jika suatu gangguan cepat terdeteksi, maka penyusup dapat diidentifikasi dan disingkirkan dari sistem sebelum kerusakan pada bagian tertentu terjadi, atau data tertentu di compromise. Dengan demikian semakin sedikit jumlah kerusakan dan pemulihan sistem yang jauh lebih cepat dapat dicapai.

2. Intrusion Detection yang efektif dapat melayani seperti sebuah alat penangkis (sehingga dapat mencegah gangguan).

3. Intrusion Detection mampu mengumpulkan informasi tentang teknik-teknik intrusion yang dapat digunakan untuk memperkuat fasilitas pencegahan gangguan (intrution prevention).

Jadi IDS membantu sistem informasi untuk menghadapi serangan-serangan. IDS bekerja dengan mengumpulkan informasi dari berbagai sistem dan source jaringan (network sources) dan kemudian menganalisa informasi untuk mendeteksi masalah keamanan yang mungkin terjadi. Intrusion Detection dapat melakukan hal sebagai berikut:

4

1. Memantau dan menganalisa kegiatan sistem dan user.

2. Meng-audit konfigurasi dan kelemahan (vulnerabilities) system

3. Melakukan penilaian terhadap integritas dari file data dan sistem yang penting

4. Menganalisa secara statistik pola aktifitas yang berdasarkan pada pola-pola yang telah ada dalam librari untuk mengetahui/mengenali serangan (attack).

Meng-audit sistem operasi Ada berbagai cara untuk memantau adanya

intruder. Ada yang sifatnya aktif dan pasif. IDS cara yang pasif misalnya dengan memantau logfile. Contoh software IDS antara lain : 1. Autobuse, mendeteksi probing dengan

memonitor logfile. 2. Courtney dan Portsentry, mendeteksi probing

(port scanning) dengan memonitor paket yang lalu lalang. Portsentry bahkan dapat memasukkan IP penyerang dalam filter tepwrapper (langsung dimasukkan ke dalam berkas etc/hosts.deny

3. Shadow dari SANS 4. Snort, mendeteksi pola (pattern) pada paket

yang lewat dan mengirimkan alert jika pola tersebut terdeteksi. Pola-pola atau rules disimpan dalam berkas yang disebut library yang dapat dikonfigurasi sesuai dengan kebutuhan. Intrusion Detection system dapat dikategorikan sebagai berikut:

a. Network Intrusion Detection System (NIDS) : melakukan analisa trafik yang lewat pada seluruh subnet. Bekerja dalam mode promiscous, dan menyesuaikan trafik yang lewat pada subnet dengan pola-pola yang ada dalam library. Apabila sebuah serangan (attack) terdeteksi / teridentifikasi, atau abnormal behavior dirasakan, maka ia akan mengirimkan alert ke administrator (memberitahukan adaministrator tentang keadaan gangguan yang terjadi). Sebagai contoh : NIDS dapat di instal pada subnet dimana firewall ditempatkan, untuk melihat seseorang yang mencoba untuk mendobrak masuk melalui firewall.

b. Network Node Intrusion Detection System (NNIDS) : menganalisa traffic yang lewat dari network ke host tertentu. Perbedaan NIDS dan NNIDS adalah traffic yang dimonitor hanya pada sebuah host saja dan tidak untuk seluruh subnet. Sebagai contoh, NNIDS dapat di-instal pada VPN device sehingga dapat dilihat bila seseorang mencoba mendobrak masuk ke VPN device.

Host Intrusion Detection System (HIDS) : mengambil potret dari file-file yang ada pada sistem dan mencocokkannya (mattching) dengan potret yang sebelumnya. Jika file-file sistem yang penting di modifikasi atau dihapus, HIDS akan memberitahukan administrator untuk melakukan penyelidikan (investigate).

2.3 IPS (Intrusion Prevention System) Intrusion Prevention System (IPS) adalah

sebuah aplikasi yang bekerja untuk monitoring traffic jaringan, mendeteksi aktivitas yang mencurigakan, dan melakukan pencegahan dini terhadap intrusi atau kejadian yang dapat membuat jaringan menjadi berjalan tidak seperti sebagaimana mestinya. Bisa jadi karena adanya serangan dari luar, dan sebagainya. Produk IPS sendiri dapat berupa perangkat keras (hardware) atau perangkat lunak (software). Secara umum, ada dua jenis IPS, yaitu Host-based Intrusion Prevention System (HIPS) dan Network-based Intrusion Prevention System (NIPS). a. Host-based Intrusion Prevention

System (HIPS) adalah sama seperti halnya Host-based Intrusion Detection System (HIDS). Program agent HIPS diinstall secara langsung di sistem yang diproteksi untuk dimonitor aktifitas sistem internalnya. HIPS di binding dengan kernel sistem operasi dan services sistem operasi. Sehingga HIPS bisa memantau dan menghadang system call yang dicurigai dalam rangka mencegah terjadinya intrusi terhadap host. HIPS juga bisa memantau aliran data dan aktivitas pada applikasi tertentu. Sebagai contoh HIPS untuk mencegah intrusio pada webserver misalnya. Dari sisi security mungkin solusi HIPS bisa mencegah datangnya ancaman terhadap host. Tetapi dari sisiperformance, harus diperhatikan apakah HIPS memberikan dampak negatif terhadap performance host. Karena menginstall dan binding HIPS pada sistem operasi mengakibatkan penggunaan resource komputer host menjadi semakin besar.

b. Network-based Intrusion Prevention System (NIPS) tidak melakukan pantauan secara khusus di satu host saja. Tetapi melakukan pantauan dan proteksi dalam satu jaringan secara global. NIPS menggabungkan fitur IPS dengan firewall dan kadang disebut sebagai In-Line IDS atau Gateway Intrusion Detection System(GIDS). Sistem kerja IPS yang populer

5

yaitu pendeteksian berbasis signature, pendeteksian berbasis anomali, dan monitoring berkas-berkas pada sistem operasi host.

c. Sistematika IPS yang berbasis signature adalah dengan cara mencocokkan lalu lintas jaringan dengan signature database milik IPS yang berisi attacking ruleatau cara-cara serangan dan penyusupan yang sering dilakukan oleh penyerang. Sama halnya dengan antivirus, IPS berbasis signature membutuhkanupdate terhadap signature database untuk metode-metode penyerangan terbaru. IPS berbasis signature juga melakukan pencegahan terhadap ancaman intrusi sesuai dengan signature database yang bersangkutan.

d. Sistematika IPS yang berbasis anomali adalah dengan cara melibatkan pola-pola lalu lintas jaringan yang pernah terjadi. Umumnya, dilakukan dengan menggunakan teknik statistik. Statistik tersebut mencakup perbandingan antara lalu lintas jaringan yang sedang di monitor dengan lalu lintas jaringan yang biasa terjadi (state normal). Metode ini dapat dikatakan lebih kaya dibandingkan signature-based IPS. Karena anomaly-based IPS dapat mendeteksi gangguan terhadap jaringan yang terbaru yang belum terdapat di database IPS. Tetapi kelemahannya adalah potensi timbulnya false positive, yaitu pesan/log yang belum semestinya dilaporkan. Sehingga tugas Network Administratormenjadi lebih rumit, dengan harus memilah-milah mana yang merupakan serangan yang sebenarnya dari banyaknya laporan false positive yang muncul.

e. Teknik lain yang digunakan adalah dengan cara melakukan monitoring berkas-berkas sistem operasi pada host. IPS akan melihat apakah ada percobaan untuk mengubah beberapa berkas sistem operasi, utamanya berkas log. Teknik ini diimplementasikan dalam IPS jenis Host-based Intrusion Prevention System (HIDS). Teknik yang digunakan IPS untuk mencegah serangan ada dua, yaitu sniping dan shunning. 1. Sniping: memungkinkan IPS untuk

menterminasi serangan yang dicurigai melalui penggunaan paket TCP RST atau pesan ICMP Unreachable.

2. Shunning: memungkinkan IPS mengkonfigurasi secara otomatis firewall untuk drop traffic berdasar apa yang dideteksi oleh IPS. Untuk kemudian melakukan prevention terhadap koneksi tertentu.

2.4 Firewall

Firewall merupakan sebuah perangkat yang diletakkan antara Internet dengan jaringan internal, Informasi yang keluar atau masuk harus melalui firewall ini. Tujuan utama dari firewall adalah untuk menjaga (prevent) agar akses (ke dalam maupun ke luar) dari orang yang tidak berwenang (unauthorized access) tidak dapat dilakukan.

Konfigurasi dari firewall bergantung kepada kebijaksanaan (policy) dari organisasi yang bersangkutan, yang dapat dibagi menjadi dua jenis: Apa-apa yang tidak diperbolehkan secara eksplisit dianggap tidak diperbolehkan (prohibitted), Apaapa yang tidak dilarang secara eksplisit dianggap diperbolehkan (permitted). Firewall bekerja dengan mengamati paket IP (Internet Protocol) yang melewatinya. Berdasarkan konfigurasi dari firewall maka akses dapat diatur berdasarkan IP address, port, dan arah informasi. Detail dari konfigurasi bergantung kepada masing-masing firewall.

Firewall dapat berupa sebuah perangkat keras yang sudah dilengkapi dengan perangkat lunak tertentu, sehingga pemakai (administrator) tinggal melakukan konfigurasi dari firewall tersebut. Firewall juga dapat berupa perangkat lunak yang ditambahkan kepada sebuah server (baik UNIX maupun Windows NT), yang dikonfigurasi menjadi firewall. Dalam hal ini, sebetulnya perangkat komputer dengan prosesor Intel 80486 sudah cukup untuk menjadi firewall yang sederhana. Firewall biasanya melakukan dua fungsi; fungsi (IP) filtering dan fungsi proxy. Keduanya dapat dilakukan pada sebuah perangkat komputer (device) atau dilakukan secara terpisah. Beberapa perangkat lunak berbasis UNIX yang dapat digunakan untuk melakukan IP filtering antara lain: ipfwadm: merupakan standar dari sistem Linux yang dapat diaktifkan pada level kernel , ipchains: versi baru dari Linux kernel packet filtering yang diharapkan dapat menggantikan fungsi ipfwadm Fungsi proxy dapat dilakukan oleh berbagai software tergantung kepada jenis proxy yang dibutuhkan, misalnya web proxy, rlogin proxy, ftp proxy dan seterusnya Di sisi client sering kali dibutuhkan software tertentu agar dapat menggunakan proxy server ini, seperti misalnya dengan menggunakan SOCKS.

Beberapa perangkat lunak berbasis UNIX untuk proxy antara lain: Socks: proxy server oleh NEC Network Systems Labs , Squid: web proxy server. Serangan (attack) yang dilakukan intruder dapat digolongkan kepada yang sangat berbahaya (dapat menimbulkan kerusakan dan

6

kerugian) sampai ke yang hanya mengesalkan (annoying). Berdasarkan tujuan yang ingin dicapai oleh intruder, maka intruder dapat dibedakan antara lain sebagai berikut : 1. Currious : yaitu intruder yang pada dasarnya

hanya ingin mengetahui sistem dan data yang ada pada suatu jaringan komputer yang dijadikan sasaran.

2. Malicious: intruder yang dapat mengakibatkan sistem jaringan komputer menjadi down, atau mengubah tampilan situs web, atau hanya ingin membuat organisasi pemilik jaringan computer sasaran harus mengeluarkan uang dan waktu untuk memulihkan jaringan komputernya.

3. The High-Profile Intruder: Intruder yang berusaha menggunakan sumber daya (resources) di dalam sistem jaringan komputer untuk memperoleh popularitas.

4. Competetion: intruder yang ingin tahu apa yang ada di dalam jaringan komputer sasaran untuk selanjutnya dimanfaatkan untuk mendapat uang

2.5 NMS Server NSM Server adalah software yang me-manage

system resources dan data yang mengontrol fungsi-fungsi IDP. NSM Server memusatkan semua log, reporting, data, dan security policy management untuk IDP system. Semua objects, security policy, dan log disimpan di dalam database Management Server dan diadministrasi menggunakan User Interface (UI). NSM Server melakukan fungsi sebagai berikut: a. Sentralisasi management dari enterprise security

policies b. Mengkonsolidasikan logs dari Sensors yang berbeda

dalam single repository c. Memudahkan dalam managemen signature dan

protocol anomaly Attack Object d. Menyediakan kemampuan untuk multiple users

untuk berhubungan dengan Sensors Memanage beberapa Sensors

2.6 User Interface (UI) User Interface (UI) adalah software yang menyediakan powerful graphical environment untuk memanage IDP secara sentralisasi. UI menggunakan java-based software application yang dapat diinstall di multiple computers. Walaupun UI mensupports multiple users, dalam satu waktu hanya satu user yang dapat memegang control dari Management Server. Hal ini untuk mengurangi masalah synchronization atau data loss. UI terdiri dari 7 komponen: - Dashboard - Log Viewer - Security Policy Editor

- Object Editor - Device Monitor - Reports - Log Investigator

3 ANALISIS KEBUTUHAN DAN PERANCANGAN 3.1 Arsitektur Jaringan Berikut akan dibahas mengenai konfigurasi arsitektur secara global dari proyek pengadaan dan pemasangan Intrusion Detection and Prevention System (IDP). Peninjauan kondisi jaringan existing:

a. Menggunakan Intrusion Prevention System (IPS) Proventia G400CF dengan 3 firewall yang masing-masing langsung terkoneksi ke cisco switch,

b. Menggunakan 2 firewall melalui redundant link dan langsung ke cisco router sehingga memungkinkan user tertentu bisa akses langsung ke public internet tanpa melalui perangkat IPS. Kekurangan: a. Dalam hal keamanan dinilai kurang karena

penanganan untuk segi keamanan tidak menyeluruh semua user, sedangkan efisiensi biaya investasi dan pengoperasian perangkat jelas tidak efisien dengan 4 cisco switch dan 3 firewall.

Sebagai improvement topology:

1. Akan diimplementasikan IDP dengan fungsi High Availability sehingga apabila salah satu IDP atau link tidak berfungsi masih bisa di backup dengan IDP atau link redundancy-nya.

2. Menggunakan 1 firewall ke server farm sehingga lebih efisien di sisi investasi dan kompleks di sisi keamanan dengan mencakup semua user yang terkoneksi.

Analisa Kebutuhan 3.2.1 IDP Sensor A .Tipe

IDP sensor yang akan diinstall adalah IDP sensor tipe IDP-800

Gambar 3.3 Perangkat IDP 800

IDP-800 memiliki spesifikasi perangkat sebagai berikut :

Ten RJ-45 Ethernet 10/100/1000 Network port (2 RJ-45 included + 8 optional RJ-45)

One Serial Console port

Throughput up to 1 Gbps

Session up to 1 Million

7

Two Storage hard drive capacity74 GB

Penomoran Port pada IDP-800

Gambar 3.4 Penomoran port IDP 800

B. Mode Deployment IDP

1. Inline Dalam deployment IDP ini, Juniper IDP akan

diposisikan secara in-line, artinya semua traffic yang menuju server farm switch harus melewati IDP.

Dengan model konfigurasi ini, Juniper IDP akan memeriksa setiap paket yang masuk dan keluar dari server farm switch. Ketika Juniper IDP mendeteksi adanya malicious traffic, maka trafic tersebut langsung didrop sehingga tidak akan pernah masuk ke network.

2. Transparent mode Transparent mode adalah metode yang akan

dipakai dalam in-line deploymen ini. Dengan mode ini IDP beroperasi sebagai sebuah transparent bridge di dalam network dan tidak memerlukan IP address pada proses forwarding interfaces. Dengan mode ini, IDP membuat keputusan dalam melakukan forward traffic berdasarkan destination MAC address.Dengan transparent mode ini, IDP diinstal ke dalam network tanpa merubah IP address Network, seperti merubah routing atau default gateway. Manfaat Transparent mode adalah:

dapat merespon dan mendeteksi attack dengan baik tanpa mempengaruhi performance network

simple dan transparan bagi user

melewatkan Layer-2 broadcast

tidak ada perubahan routing table pada perangkat network

dapat melakukan forward non-IP traffic 3.2.2 NMS (Network Management System)

Pengadaan hardware untuk diimplementasikan sebagai NSM server tidak termasuk dalam proyek

ini, melainkan menggunakan perangkat existing. Sedangkan Software NSM Server ini sifatnya gratis setiap untuk setiap pembelian perangkat Juniper IDP. A. NMS Server Untuk mengatur 2 unit Juniper IDP, maka terdapat minimal requirement dari spesifikasi NSM Server untuk Installlasi GUI server dan Device Server dalam satu fisik server, yaitu :

Operating System

Solaris 10 / RHEL 32-bit ES/AS 4.0 Update 7 / RHEL 32-bit ES/AS 5.0 Update 3

RAM 2 GB

Storage 80 GB Dengan detail sebagai berikut :

/usr : minimum 7GB

/var : minimum 10GB

/tmp : minimum 2 GB

Swap Space 4 GB

Network Connection 100Mbps Ethernet Adapter

B. NMS client

NSM Client adalah software yang digunakan untuk mengakses NSM Server. Berikut adalah spesifikasi minimum perangkat yang harus dimiliki agar dapat menjalankan software NSM Client.

Operating System

Microsoft Windows XP, NT 4.0 Service Pack 6a or higher, Windows 2000 Server or Professional.

Red Hat Enterprise Linux ES/AS 4 (Minimal and Full Install, US English versions only)

CPU 400MHz Pentium® II or equivalent

RAM 256MB

Network Connection

384kbps (DSL) or LAN connection

3.2.3 Sarana Penunjang A. Denah Penempatan Perangkat

8

A C R a c k s

R a c k s

R a c k s

R a c k s

R a c k sR a c k sA C

A C

R a c k s

R a c k s

R a c k s

A C

R a c k s

R a c k s

R a c k s

R a c k s

R a c k s R a c k s

A C

R a k J u n ip e r I D P 8 0 0

R a k C is c o S w it c h 6 5 1 3

R a k C is c o R o u t e r 7 6 0 6

P a t c h c o r d M M L C - L C

C a b le T r a y

L e g e n d

Gambar 3.5 Denah Penempatan Perangkat

B. Space rack

Space rack yang dibutuhkan untuk setiap IDP800 Sensor adalah : 2 U (3.4 inch)

C. Bayface IDP 800-1

IDP 800-2

D. AC Power

Spesifikasi kebutuhan input power adalah sbb:

Dibutuhkan 2 power outlet untuk masing-masing perangkat Juniper IDP-800 yang ada, sehingga total power outlet untuk 2 unit Juniper IDP-800 adalah 4 power outlet.

4 IMPLKEMENTASI DAN PENGUJIAN 4.1 Prosedure Implementasi

Setelah meninjau desain jaringan maka dilanjutkan dengan proses instalasi. Dalam implementasi Juniper IDP ada 7 langkah yang harus dilakukan. Setiap langkah harus berhasil sebelum melanjutkan ke langkah berikutnya. Untuk langkah 7 yang dapat

dilakukan setelah seluruh IDP sensor terinstal. Langkah-langkah tersebut adalah: 1. instalasi IDP Sensor 2. Konfigure NSM Server untuk memanage IDP

sensor 3. Mengatur Sensor dalam kondisi security

policy default 4. Migrasi Link antar Cisco Router 7606 ke IDP

Sensor 5. Monitor log di NSM Server 6. Edit Security policy untuk drop packet 7. Update Signature di setiap IDP sensor.

Dengan mengikuti prosedur ini, maka downtime dari network hanya terjadi pada langkah 4. Estimasi downtime langkah sekitar 10 menit. Downtime pada langkah 4 tergantung pada kecepatan pemindahan koneksi link baru dari IPS eksisting ke Juniper IDP-800 serta proses MAC Address learning di Juniper IDP-800. Berikut ini adalah detail prosedur masing-masing langkah tersebut

4.1.1 Instalasi IDP Sensor Prosedur secara ringkas

a) memeriksa kelengkapan perangkat b) memasang perangkat pada Rak c) menghubungkan dengan fiber optik d) konfigurasi IDP sesuai aturan dari ACM e) setting parameter f) test koneksi

4.1.2 Proses Konfigurasi NMS Server Prosedur secara ringkas

a) test koneksi dari UI (User Interface) ke IDP management server

b) test koneksi dari Management Server ke IDP sensor

c) menjalankan aplikasi UI dan login sebagai admin d) penggabungan IDP sensor e) IDP management mengatur IDP sensor

4.1.3 Mengatur Sensor dalam kondisi Default security policy Tujuan : Memastikan bahwa IDP sensor terinstall dengan security policy default (tidak ada traffic yang didrop, hanya di log)

Prosedur a) menjalankan aplikasi UI dan login sebagai admin b) memeriksa strategi keamanan yang ada (default

security policy) c) menerapkan default security policy pada IDP

sensor 4.1.4 Migrasi Link antar Cisco 7606, Server Farm Switch

dan IDP Sensor 4.1.6 Edit Security policy untuk drop packet

2U

3.4

inch

Standard 19 inch Rack

9

4.1.7 Update Signature ke IDP Sensor 4.2 Setting Paramater Sensor IDP 800 4.2.1 Password 4.3 Metode Deployment IDP sensor

Metode Deployment yang digunakan adalah Transparent Mode

4.3.1 Alokasi Port 4.3.2 IP Addressing 4.3.3 IP Address NSM Server 4.3.4 SSH Access

SSH Access adalah metode access ke console sensor secara remote. Jika SSH access akan diaktifkan maka diperlukan pembatasan IP Address atau network yang dapat mengakses, sebagai contoh hanya dari NSM.

4.4 Setting NMS 4.4.1 NSM Server 4.4.2 User Account

4.5 Langkah-Langkah Konfigurasi Switch Juniper IDP 800 Adapun langkah-langkah mengkonfigurasi Juniper

sebagai berikut: a) Mempersiapkan laptop, perangkat juniper,

converter USB to Serial RS 232, dan kabel console.

b) Hubungkan converter cable USB to Serial RS 232 pada laptop

c) Hubungkan converter cable USB to Serial RS 232 dan kabel console

d) Nyalakan perangkat Juniper dan tunggu beberapa menit

e) Hubungkan kabel console pada port console perangkat Juniper

f) Membuka program secureCRT g) Dalam secureCRT pilih Connect USB to Serial

( com … ) h) Setelah terhubung, masukkan konfigurasi

sebagai berikut; Memasukan konfigurasi sesuai dengan kebutuhan

dalam topologi jaringan dan alokasi IP. 4.5.1 Masuk ke Menu Edit

- Login : root - Password : lab123 - root%cli - root>edit

4.5.2 Delete Security Policy

[edit] root# edit security [edit security] root# delete policies [edit security] root# delete nat [edit security] root# delete zones

[edit security] root# delete screen root# exit

4.5.3 Delete Vlans [edit] root# delete system name-server [edit] root# delete system services web-management [edit] root# delete system services dhcp [edit] root# delete interfaces interface-range interfaces-trust [edit] root# delete vlans vlan-trust [edit] root# set system root-authentication plain-text-password new password: lab123 retype new password: lab123

4.5.4 Membuat Security Forwarding

- [edit] root# set security forwarding-options family mpls mode packet-based

- [edit] root# set system host-name IDP1-ISPO.TELKOM.CO.ID

4.5.5 Membuat VLAN Management

- [edit] root# Set Vlans management vlan-id 10 root# Set Vlans management l3-interface vlan.10

4.5.6 Set Interface LAN

- [edit]

root# set interfaces vlan unit 10 family inet addres xxxxx

10

4.5.7 Membuat Interface Fe 0/0/xx

[edit] root# set interfaces fe-0/0/0 unit 0 family ethernet-switching port-mode access vlan members management root# set interfaces fe-0/0/1 unit 0 family ethernet-switching port-mode access vlan members management root# set interfaces fe-0/0/2 unit 0 family ethernet-switching port-mode access vlan members management root# set interfaces fe-0/0/3 unit 0 family ethernet-switching port-mode access vlan members management root# set interfaces fe-0/0/4 unit 0 family ethernet-switching port-mode access vlan members management root# set interfaces fe-0/0/5 unit 0 family ethernet-switching port-mode access vlan members management root# set interfaces fe-0/0/6 unit 0 family ethernet-switching port-mode access vlan members management root# set interfaces fe-0/0/7 unit 0 family ethernet-switching port-mode access vlan members management

4.5.8 Membuat User Login

- [edit]

root# set system login class super-user-local permissions all

- [edit] root# set system login user lab class super-user-local uid 2000 authentication plain-text-password

- [edit] root# New password: lab123

- [edit] root# Retype new password: lab123

4.5.9 Membuat VLAN Id

- [edit]

root# set interfaces fe-0/0/7 unit 0 family ethernet-switching native-vlan-id 10

4.5.10 Membuat IP Gateway

- [edit]

root# set routing-options static route 0.0.0.0/0 next-hop xxxxxx root#exit

4.6 Hasil Pengujian 4.6.1 Hasil Pengujian Konfigurasi Juniper IDP 800

[edit] root@ IDP1-ISPO.TELKOM.CO.ID # show ## Last changed: 2010-07-19 13:40:06 UTC version 10.0R1.8; system { host-name IDP1-ISPO.TELKOM.CO.ID; root-authentication { encrypted-password "$1$RJToixI/$GHOb8SlgMi8/xOUsDE..9."; ## SECRET-DATA } login { class super-user-local { permissions all; } user lab { uid 2000; class super-user-local; authentication { encrypted-password "$1$Gnx.0cDj$S2c/52olD6cTnIyaO.oJ31"; ## SECRET-DATA } } } services { ssh; telnet; } syslog { archive size 100k files 3; user { any emergency; } file messages { any critical; authorization info; } file interactive-commands { interactive-commands error; } } max-configurations-on-flash 5; max-configuration-rollbacks 5; license { autoupdate { url https://ae1.juniper.net/junos/key_retrieval; } } } interfaces {

security

forwarding

user login

11

fe-0/0/0 { unit 0 { family ethernet-switching { port-mode access; vlan { members management; } } } } fe-0/0/1 { unit 0 { family ethernet-switching { port-mode access; vlan { members management; } } } } fe-0/0/2 { unit 0 { family ethernet-switching { port-mode access; vlan { members management; } } } } fe-0/0/3 { unit 0 { family ethernet-switching { port-mode access; vlan { members management; } } } } fe-0/0/4 { unit 0 { family ethernet-switching { port-mode access; vlan { members management; } } } } fe-0/0/5 { unit 0 { family ethernet-switching { port-mode access; vlan {

members management; } } } } fe-0/0/6 { unit 0 { family ethernet-switching { port-mode trunk; vlan { members [ all management ]; } native-vlan-id 100; } } } fe-0/0/7 { unit 0 { family ethernet-switching { port-mode trunk; vlan { members [ all management ]; } native-vlan-id 100; } } } vlan { unit 100 { family inet { address ……………….. ; } } } } routing-options { static { route 0.0.0.0/0 next-hop ………………… ; } } security { forwarding-options { family { mpls { mode packet-based; } } } } vlans { management { vlan-id 100; l3-interface vlan.100; }

VLAN id

12

} 4.6.2 Pengujian dengan PING Juniper IDP 800

root@ IDP1-ISPO.TELKOM.CO.ID > ping .................... PING .................... (....................): 56 data bytes 64 bytes from ....................: icmp_seq=0 ttl=64 time=18.637 ms 64 bytes from ....................: icmp_seq=1 ttl=64 time=5.695 ms 64 bytes from ....................: icmp_seq=2 ttl=64 time=6.054 ms 64 bytes from ....................: icmp_seq=3 ttl=64 time=6.539 ms 64 bytes from ....................: icmp_seq=4 ttl=64 time=5.915 ms 64 bytes from ....................: icmp_seq=5 ttl=64 time=6.149 ms 64 bytes from ....................: icmp_seq=6 ttl=64 time=5.657 ms 64 bytes from ....................: icmp_seq=7 ttl=64 time=6.019 ms 64 bytes from ....................: icmp_seq=8 ttl=64 time=6.817 ms 64 bytes from ....................: icmp_seq=9 ttl=64 time=6.026 ms ^C --- .................... ping statistics --- 10 packets transmitted, 10 packets received, 0% packet loss round-trip min/avg/max/stddev = 5.657/7.351/18.637/3.777 ms

4.6.3 Hasil Pengujian System Alarm

root> show system alarms 1 alarms currently active Alarm time Class Description 2010-04-05 11:11:32 UTC Minor Rescue configuration is not set root> request system configuration rescue save root> show system alarms No alarms currently active root>exit root%exit

5 Penutup 5.1 Kesimpulan

a. Instalasi Juniper IDP800 telah dilakukan sesuai

keinginan hal ini dapat dilihat dari hasil pengujian

dimana parameter yang diuji terbukti terpenuhi.

b. Penerapan Intrusion Detection and prevention

system (IDP) dengan perangkat IDP800

merupakan salah satu solusi untuk pencegahan

dan keamanan suatu jaringan.

5.2 Saran

Sebaiknya menggunakan juniper untuk perangkat

jaringan karena juniper merupakan pioneer

technology ASIC (Application-Specific Integrated

Circuit) yang sekarang ini menjadi standard untuk core

router.

REFERENSI

1. Abraham Nethanel Setiawan Junior, Agus Harianto,

Alexander (2009). “Perancangan dan Implementasi

Intrusion Detection System pada Jaringan Nirkabel

BINUS University”. 23506011, 1-15

2. Northcutt, Stephen "Network Intrusion Detection“,

New Riders, 1999

3. Paez, Rafael et.al, “Cooperative Itinerant Agents

(CIA): Security Scheme for Intrusion Detection

Systems”, International Conference on Internet

Surveillance and Protection (ICISP’06), 2006.

4. Juniper Network, Inc. December 2008 Installation

Guide, Intrusion Detection and Prevention IDP 8200

(online)

(http://www.juniper.net/techpubs/software/manage

ment/idp/idp42/IDP42_Install_Guide.pdf, Diakses 05

Oktober 2010 12:33)

5. Juniper Network, Inc. December 2009 Datasheet, IDP

Series Intrusion Detection and Prevention appliance

(online)

(http://www.juniper.net/us/en/local/pdf/datasheets

/1000221-en.pdf) (Di Akses tanggal 05 Oktober 2010

12:35)

13

6. Juniper Network, Inc. 13 April 2009 NSS Labs, Network

Instusion Protection system (NIPS) (online) Methodologi

version:5.14

(http://nsslabs.com/certification/ips/NSSLabs-

NIPS_JUNIPER_IDP800.pdf, Di Akses tanggal 05 Oktober

2010 12:40)